Артем Агеев. Что год грядущий нам готовит? Обзор изменений в сфере ИБ в 2014 году
1. Что год грядущий нам готовит?
Обзор изменений в сфере ИБ в 2014 году
Артем Агеев
@4rt3m
2. Агеев Артем Александрович
• Руководитель проекта BugHunt
• Заместитель генерального директора ООО «РосИнтеграция» по
информационной безопасности
• Личный блог www.itsec.pro
• Твиттер @4rt3m
• A.ageev@rosint.net
3. http://www.cbr.ru/press/pr.aspx?file=18042014_165029intern1.htm
Критическая уязвимость OpenSSL (Heartbleed)
Информационное сообщение ЦБ РФ от 18 апреля 2014г.
О мерах по минимизации риска, связанного с наличием
уязвимости в программном обеспечении «OpenSSL»
проверить свои сервера https://filippo.io/Heartbleed/
обновить OpenSSL
сменить криптографические ключи в порядке, определенном в
соответствии с пунктом 2.9.3 Положения Банка России № 382-П
довести до клиентов информации о рекомендуемых мерах по
снижению возможных рисков в соответствии с пунктом 2.12.3
Положения Банка России № 382-П
4. * Кроме Windows XP Embedded
http://support.microsoft.com/lifecycle/?c2=1173
патчей больше не будет!
техподдержка не поможет
новые версии ПО и драйверов
будут/могут быть несовместимы
в продаже нет
30% всех ПК в мире
с 8 апреля беззащитны
6. Информационное сообщение ФСТЭК России от 7 апреля 2014 г. N 240/24/1208
http://fstec.ru/component/content/article/64-normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/823-informatsionnoe-soobshchenie-fstek-rossii5
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННОЙ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS XP В
УСЛОВИЯХ ПРЕКРАЩЕНИЯ ЕЕ ПОДДЕРЖКИ
РАЗРАБОТЧИКОМ
необходимо усилить защиту имеющихся аттестованных
ИС с Windows XP и запланировать переход на более
современную ОС до декабря 2016 года;
все системы с Windows XP, аттестованные до 8 апреля
2014 года, должны пройти дополнительные
аттестационные испытания в рамках действующих
аттестатов.
7. СТО БР ИББС 1.0 – 2014. Общие положения
СТО БР ИББС 1.2 – 2014. Методика оценки
РС БР ИББС 2.Х – 2014. Обеспечение информационной безопасности на стадиях
жизненного цикла автоматизированных банковских систем
РС БР ИББС 2.Х – 2014. Менеджмент инцидентов информационной
безопасности
8. Положение 382-П
• Обязательные требования для всех участников
НПС
• Обязательная оценка соответствия до февраля
2014 года, и потом каждые 2 года
• ЦБ РФ обещал подумать над опубликованием
внутреннего регламента по контролю за
исполнением 382-П
9. Положение 397-П
• Кредитная организация обязана предоставить резервные копии
электронных баз данных по запросу из ЦБ
• банк обязан обеспечить хранение резервных копий не менее 5 лет
(п.1.2. Положения);
• резервные копии должны позволять получить необходимую
информацию за любой заданный операционный день (п.3.3.
Положения) в течение срока хранения;
• должна быть обеспечена возможность определения даты операций
(сделки) и номера соответствующего лицевого счета;
• должна быть обеспечена возможность восстановления временной
последовательности событий и действий пользователей по
внесению изменений в электронные базы данных, а также
возможность идентификации лиц, которые вносили данные
изменения;
• в кредитной организации должны быть назначены ответственные за
ведение, хранение и защиту резервных копий электронных баз
данных;
• должны быть разработаны и утверждены соответствующие
внутренние регламенты.
10. Письмо ЦБ от 24 марта 2014 г.
N 49-Т про антивирусы
• регулярно проводить обучающие мероприятия;
• органы управления КО должны не реже 1 раза в
квартал рассматривать результаты антивирусных
мероприятий;
• разработать требования по антивирусной защите
клиентов ДБО;
• информировать клиентов ДБО о вирусной
активности;
• и другие рекомендации…
11. Письмо ЦБ от 14 марта 2014 г. N 42-
Т
Персональные данные
Территориальным учреждениям Банка России при
осуществлении надзора за деятельностью кредитных
организаций следует учитывать случаи выявления
недостатков в деятельности, связанных с исполнением норм
Федерального закона от 27.07.2006 N 152-ФЗ, и
рассматривать их как негативный фактор при оценке
качества управления кредитной организацией, в том числе
оценке организации системы внутреннего контроля в
соответствии с Положением Банка России от 16.12.2003 N
242-П "Об организации внутреннего контроля в кредитных
организациях и банковских группах".
12. Роскомнадзор
• Методические рекомендации по обезличиванию
• Штрафы за ПДн пока не увеличили
http://rkn.gov.ru/news/rsoc/news17877.htm
Кадровые вопросы
http://rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.doc
О ксерокопиях паспортов и фотографиях в личном деле
• Разъяснения Роскомнадзора
13. ФСТЭК
• Отменен приказ ФСТЭК/ФСБ/Мининформсвязи
55/86/20 («приказ трёх»)
• Методические рекомендации по защите ГИС от
11 февраля 2014 года
• Разработаны документы по защите виртуальных
и облачных инфраструктур, но ещё не
утверждены